对称多处理器布置、安全关键系统及其方法

文档序号:8476697阅读:366来源:国知局
对称多处理器布置、安全关键系统及其方法
【技术领域】
[0001] 一般来说,本发明涉及多处理器布置,以及更具体来说,涉及对称多处理器布置的 诊断。
【背景技术】
[0002] 对于开发安全关键系统、例如机器人系统,重要的是充分及早地检测故障,并且将 系统切换到所谓的安全状态,其中它不会危及人类或环境。这实际意味着,系统差错、例如 软件/硬件设计差错必须通过该过程中的适当检验和验证技术来避免,以及随机差错必须 通过例如适当诊断技术或硬件冗余度来检测。用于查找系统差错的适当检验和验证技术是 安全关键系统的开发过程的组成部分。用于查找随机差错的诊断技术在运行时周期地运 行。
[0003] 诊断能够通过硬件(HW)以及通过软件(SW)来实现。HW诊断是费用极高的,但是 它们能够提供较高诊断覆盖。HW诊断的一个示例是例如RAM的ECC校验模块。
[0004] 通过SW的诊断通常是优选的,因为它们能够易于更新和定制。但是,它们会比HW 诊断要慢,并且可能不一定始终达到HW的所有部件、例如特殊寄存器。它们能够与应用任 务并行地运行,这降低总系统性能,并且可能影响安全功能性,即,诊断功能本身会出故障 并且威胁系统安全性。
[0005] 在单处理器上,诊断能够是固件的组成部分、即自身模块/任务。过程循环中的一 些空闲处理器时间通常用来检查系统的安全完整性。执行完全是串行的。但是,在不久的 将来,大多数系统不是运行于单处理器布置,而是运行于多处理器布置,这使诊断技术进一 步复杂化。

【发明内容】

[0006] 诊断如何能够在多核系统中进行工作的方式必须完全重新构思,因为硬件变得越 来越复杂,软件配置变得越来越复杂,以及对多处理器单元(MPU)所需要的完全利用其潜 能的动态将在很大程度上影响安全性。
[0007] 当今,MPU的安全关键系统主要运行不对称多处理(AMP),采取专用资源、例如专 用于安全应用的一个核心。核心对其他任务将不是可用的,即使它处于空闲模式。系统的 性能因而决不会是最佳的。如果使用更多核心,则问题变得更加严重。专用安全核心中的 故障将导致失误进入安全状态,即使存在可用的其他核心可使系统保持为有效。此外,用于 例如2选1 (1〇〇2)解决方案的冗余控制的固定表决方案在MPU增加能力、即被提供有更多 核心时不能易于改变成具有更多核心的解决方案、例如4选2 (2〇〇4)解决方案。
[0008] 在MPU上,与单处理器单元相比,状况是不同的,因为应当利用并行执行。管理器 (hypervisor)软件层通常调节对共享资源以及对核心利用的访问。由于对共享资源和核心 利用的健康检查的过小控制,对称多处理(SMP)在安全关键系统中尚未被接纳。但是,SMP 对安全关键系统也是合乎需要的,使得管理器层能够用来优化硬件利用。MPU将变得越来越 多核心,以及多线程将用来利用总系统资源。复杂度增加,并且多核芯片本身知道根据性能 与功率消耗的最佳负荷分布。多核芯片通常包括核心、高速缓存、总线或开关矩阵,以便连 接到诸如存储器、存储器保护单元、I/O、以太网卡等的其他组件。
[0009] 此外,其中一个安全应用(又称作分区)专用于自身核心的静态配置不是灵活或 者充分可缩放的。甚至对于安全关键实现,软件开发人员也应当能够从基础硬件抽身而集 中于应用本身。管理器将分配对于资源的最大利用所优化的工作负荷。
[0010] 图1示出四核系统1,其中每一个应用2-5可能随其自己的操作系统(OS) -起封 装在虚拟容器中,从而具有对所有硬件多核资源6-9的访问权。管理器10将操控最佳资源 共享。在这个图示中,第一应用2是具有诊断(包括OS)的安全应用,第二应用3是具有诊 断(包括OS)的另一个安全应用,第三应用4是任意应用(包括OS),以及第四应用5是另 一个任意应用(包括OS)。另一个任意应用的示例例如是控制环应用或者人机接口(HMI) 应用。在这个图示中,硬件具有第一核心6、第二核心7、第三核心8和第四核心9,其全部是 多核处理器硬件1的相同核心。安全应用2例如在时间t=l运行于第一核心6,但是在时间 t=2,它运行于第二核心7,以分别从安全应用2转到第一核心6和第二核心7的箭头示出。 安全应用2当前运行的位置由管理器10基于优化负荷共享来决定。管理器10在这种情况 下将使第三应用4在t=2运行于第一核心6,通过从第三应用4到第一核心6的箭头示出。 资源的使用将是极为动态的,从而允许由管理器10所调节的最高系统性能。
[0011] 对多核处理器硬件的典型安全解决方案在这里采用具有2选1(1〇〇2)的冗余度的 四核处理器来例示。
[0012] 运行于具有SMP的MPU(其中资源随时间动态分配)的安全关键应用的问题在于, 安全关键应用的诊断任务在所有其他任务之间的空闲时隙中运行。这在多线程环境中不是 有效的。
[0013] 本发明的一个目的是减轻上述问题。
[0014] 按照本发明,这个目的通过分别如所附权利要求所限定的一种对称多核处理器布 置及其方法来实现。
[0015] 提供一种用于安全关键系统的对称多核处理器布置,包括:对称多处理器,具有至 少两个核心和至少两个核心所共享的存储器;以及管理器,连接到对称多处理器,并且配置 成组织检查安全关键系统的至少诊断应用对至少两个核心的访问;其中,在使用期间,诊断 应用配置成从/向存储器进行读取/写入,并且管理器配置成仅从存储器读取,为运行于对 称多处理器布置的安全关键应用提供有效诊断任务。
[0016] 对于关键操控,管理器优选地配置成为诊断应用提供对多处理器的优先化访问。
[0017] 安全关键系统优选地在使用期间包括至少两个诊断应用,以获得也与软件有关的 诊断冗余度。
[0018] 还提供一种安全关键系统、例如机器人。
[0019] 提供一种用于安全关键系统、例如机器人的诊断检查的方法,包括下列步骤:通过 安全关键系统的诊断应用向/从对称多处理器的至少两个核心所共享的存储器进行写入/ 读取;以及通过管理器来组织对安全关键系统的对称多处理器的至少两个核心的访问,并 且管理器配置用于仅从至少两个核心所共享的存储器进行读取;其中诊断应用配置成检查 安全关键系统的一个或多个资源的状态,为运行于对称多处理器布置的安全关键应用提供 有效诊断任务。
[0020] 对于共享存储器的有效利用,该方法优选地包括下列步骤:在存储器中为诊断应 用通过诊断应用正监测的资源更新健康状态指示符。有利地,健康状态指示符对于被监测 的各资源包括:被运行的诊断测试的状态、运行时的时间戳以及自上一次检查以来的时间。
[0021] 对于关键操控,诊断应用优选地对多处理器具有优先化访问,当被监测资源由安 全关键系统的另一个应用连续使用时所利用。
[0022] 该方法优选地包括下列步骤:动态地重新配置诊断应用的表决方案,以允许例如 运行时重新配置。
[0023] 还提供一种计算机程序产品。
[0024] 一般来说,权利要求书中使用的所有术语将要按照它们在技术领域中的普通含意 来解释,除非本文中另加明确说明。对"一 / 一个/该元件、设备、组件、部件、步骤等"的所 有提法开放式地理解为表示元件、设备、组件、部件、步骤等的至少一个实例,除非另加明确 说明。本文所公开的任何方法的步骤无需按照所公开的准确顺序来执行,除非另加明确说 明。
【附图说明】
[0025] 现在作为示例、参照附图来描述本发明,附图包括: 图1示出已知对称多处理器布置。
[0026] 图2示出按照本发明的第一实施例的对称多处理器布置。
[0027] 图3示出按照本发明的第二实施例的对称多处理器布置。
【具体实施方式】
[0028] 下面将参照附图更全面地描述本发明,附图中示出本发明的某些实施例。但是,本 发明可通过许多不同形式来实施,而不应被理解为局限于本文所提出的实施例;相反,这些 实施例作为示例来提供,以使得本公开将是透彻和全面的,并且将向本领域的技术人员全 面地传达本发明的范围。在整个描述中,相似的标号表示相似的元件。
[0029] 现在将作为举例、参照图2更详细地描述按照本发明的多核处理器布置的第一实 施例(其运行诊断功能以及其他功能)。
[0030] 对称多核处理器布置适合用于安全关键系统中,并且包括:对称多处理器14,具 有至少两个核心6-9和至
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1